CN106131059A - 一种基于无证书聚合签名的车联网条件隐私保护方法与系统 - Google Patents

Abstract

本发明公开一种基于无证书聚合签名的车联网条件隐私保护方法与系统，是基于无证书密码体制，提供了一种基于无证书聚合签名的车联网条件隐私保护方法。通过基于传统公钥密码体制的车联网条件隐私保护、聚合签名者把多个不同的签名聚合成一个签名、采用密钥生成中心KGC和跟踪认证中心TRA实现了车联网的条件隐私保护的方案，不仅避免了证书管理和密钥托管的问题，还提高了车联网在聚合签名验证时的计算效率，实现了车联用户的条件隐私保护，可以安全的在开放的车联网中使用。

Description

一种基于无证书聚合签名的车联网条件隐私保护方法与系统

技术领域

本发明涉及信息安全中的无证书聚合签名技术领域，特别涉及一种基于无证书聚合签名的车联网条件隐私保护方法及系统。

背景技术

为了解决在传统公钥密码体制中的无法根除的、固有的证书管理问题以及证书维护问题，和避免在基于身份密码体制中引入的新问题——密钥托管问题，在2003年，Al-Riyami和Paterson在亚洲密码学会议上，首次公开提出了无证书公钥密码学(Certificateless Public Key Cryptography，CLS-PKC)的概念，给出了第一个无证书签名方案(Certificateless Signature Scheme，CLS)。

在无证书公钥密码学中，用户的私钥是由两部分来共同组成的，一部分是由可信的第三方密钥生成中心KGC，通过安全信道提供给用户的部分私钥(Partial PrivateKey)；另一部分是由用户自己选择的秘密值(Secret Value)。由于密钥生成中心只知道用户的部分私钥信息，而不知道用户自己选择的秘密值，因此也就无法知道用户完整的私钥，从而无法伪造用户的签名以及解密用户的密文。从这点来看，无证书公钥密码体制解决了基于身份密码体制中存在的密钥托管问题。此外，由于用户的公钥已经包含有公开的系统参数(Public System Parameters)。因此，也就不再需要使用公钥证书来进行用户的公钥认证。从这点来看，无证书公钥密码体制完美地解决了传统公钥密码体制中无法根除的、固有的证书管理问题以及证书维护问题。所以自无证书密码体制诞生起，就一直是密码学中非常活跃的研究热点。

在车联网中，车辆用户的真实身份信息对于外界而言是不可获得的，但在一些紧急情况下，如道路交通出现事故时，权威交通管理部门仍然可以快速准确地跟踪到车辆用户的真实身份信息。一般情况下，在车联网中，凡是涉及到隐私保护的安全应用，都必须是条件隐私保护。

在2003年，Boneh等人首次提出了聚合签名的概念。在车联网中，聚合签名的基本思想是：聚合签名者首先把n个不同的签名，聚合成一个签名，以降低网络传输开销和提高签名验证的效率，然后发送给聚合签名验证者；聚合签名验证者对收到的聚合签名进行聚合验证。如果该聚合签名通过了聚合签名验证者的验证，那么聚合签名验证者就可以相信这n个不同车辆用户确实对这n个不同消息进行过签名。但是，目前的研究也存在着一定的问题，如参与运算的双线性对数目会随着签名者的数量的增加而线性增加，这显然与进行聚合签名的出发点相矛盾。

此外，尽管现有了基于无证书聚合签名的车联网条件隐私保护方法能够有效地提高消息签名验证的计算效率，但是这些已有的基于批验证的车联网条件隐私保护方法本身却是不安全的，存在着一定的安全性漏洞，因而不能安全地应用于车联网中。

发明内容

本发明所要解决的技术问题是，现有的基于无证书聚合签名的车联网条件隐私保护方法，不能安全的在实际中广泛地应用。本发明基于无证书密码体制，提供了一种基于无证书聚合签名的车联网条件隐私保护方法。受益于基于无证书密码体制的优良性能，本发明所提出的方法不仅避免了证书管理和密钥托管的问题，还提高了车联网在聚合签名验证时的计算效率，实现了车联用户的条件隐私保护，可以安全的在开放的车联网中使用。

本发明为解决上述技术问题采用以下技术方案：

一种基于无证书聚合签名的车联网条件隐私保护方法，所述方法包含以下步骤：

步骤A，该步骤由密钥生成中心和跟踪认证中心共同执行，生成车联网的主密钥和系统参数；

步骤B，根据所述系统参数，车辆用户真实身份信息，跟踪认证中心生成车辆用户的假名身份；

步骤C，根据所述系统参数，密钥生成中心生成车辆用户的部分私钥；

步骤D，根据所述系统参数，车辆用户生成自己的密钥；

步骤E，根据所述系统参数，车辆用户对随机选择向路侧单元发送的消息并对该消息进行签名；

步骤F，根据所述系统参数，路侧单元对签名进行聚合；

步骤G，根据所述系统参数，路侧单元对聚合的签名进行验证。

本发明还提供一种基于无证书聚合签名的车联网条件隐私保护系统，包括：

系统参数生成模块，用于根据输入的安全参数分别生成密钥生成中心和跟踪认证中心的主密钥，以及系统参数；

假名身份生成模块，用于根据系统参数生成模块生成系统参数和车辆用户的真实身份信息，生成车辆用户的假名身份，所述用户包括跟踪认证中心和车辆用户V_i；

部分私钥生成模块，用于根据系统参数生成模块生成系统参数和车辆用户假名身份信息，生成车辆用户的部分私钥，所述用户包括密钥生成中心和车辆用户V_i；

车辆密钥生成模块，用于根据系统参数生成模块生成系统参数，生成车辆用户的公私钥，所述用户为车辆用户V_i；

签名生成模块，用于根据系统参数生成模块生成系统参数，生成车辆用户对消息的签名，所述用户为车辆用户V_i；

聚合签名生成模块，用于根据系统参数生成模块生成系统参数，生成n个不同消息{M₁,M₂,…,M_n}的聚合签名σ，所述用户为路侧单元；

聚合签名验证模块，用于根据系统参数生成模块生成系统参数，生成该聚合签名是否有效的判断结果，所述用户为路侧单元。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

本发明采用基于无证书聚合签名的车联网条件隐私保护方法，不仅保留了基于无证书密码体制的优点，如解决了传统公钥密码体制的证书管理，以及避免了基于身份的密码体制的密钥托管问题，而且还具有抵抗选择消息攻击的安全性，是一种非常适合于车联网环境中的无证书聚合签名方法。主要原因如下：

首先，基于传统公钥密码体制的车联网条件隐私保护，因为证书管理问题和证书维护问题，导致车联网存储开销大，计算和通信效率降低；而基于身份密码体制的车联网条件隐私保护，又因为可信第三方KGC拥有所有车辆用户的密钥，存在密钥托管问题，因此有安全隐患的风险；而无证书密码体制圆满地解决了传统公钥密码体制中无法消除的、固有的证书管理问题以及证书维护问题，同时也避免了基于身份密码体制的所带来的密钥托管问题。

其次，聚合签名者是把n个不同的签名，聚合成一个签名，以降低网络传输开销和提高签名验证的效率，然后发送给聚合签名验证者；聚合签名验证者对收到的聚合签名进行聚合验证。如果该聚合签名通过了聚合签名验证者的验证，那么聚合签名验证者就可以相信这n个不同车辆用户确实对这n个不同消息进行过签名。聚合签名技术，提高了车联网中的签名验证的效率。

最后，在车联网中，采用密钥生成中心KGC和跟踪认证中心TRA，实现了车联网的条件隐私保护。车辆用户的真实身份信息对于外界而言是不可获得的，但是权威交通管理部门仍然可以快速准确地跟踪到车辆用户的真实身份信息。

此外，在本发明中，车联网中所有车辆用户V_i都以真实身份RID_i向TRA注册，TRA计算车辆用户V_i的假名身份ID_i。假名身份ID_i存储在车辆用户V_i的防纂改设备TPD中。车辆用户V_i的假名身份ID_i实际上链接到车辆用户的真实身份RID_i。TRA通过假名身份生成算法，利用跟踪主密钥s₂，可以恢复出车辆用户V_i的真实身份RID_i，车联网因此实现了条件隐私保护。

附图说明

图1是本发明所述的一种基于无证书聚合签名的车联网条件隐私保护方法的流程图。

图2是依照本发明方法的基于无证书聚合签名的车联网条件隐私保护系统执行的流程图。

图3是本发明所述的基于无证书聚合签名的车联网条件隐私保护系统的示意图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

本发明所述基于无证书聚合签名的车联网条件隐私保护方法可基于双线性对来实现，下面首先简要介绍双线性对的基本定义和它满足的性质。

设G₁是一个阶为q的加法循环群，G₂是一个阶为q的乘法循环群，并且P是群G₁的生成元，其中q是一个大素数。假设G₁和G₂这两个群上的CDH问题都是困难问题。如果定义在群G₁和群G₂上一个映射e:G₁×G₁→G₂满足下面的三条性质，则称该映射为有效的双线性对。双线性对e:G₁×G₁→G₂是群G₁与自身的笛卡尔积G₁×G₁到群G₂的映射，即双线性对e:G₁×G₁→G₂是指函数z＝e(P₁,P₂)，其中P₁,P₂∈G₁为自变量，z∈G₂为因变量。

双线性对应满足的三条性质为：

(1)双线性.对于任意的P₁,P₂∈G₁和有e(aP₁,bP₂)＝e(P₁,P₂)^ab。

(2)非退化性.其中是群G₂的单位元。

(3)可计算性.对于任意的P₁,P₂∈G₁，存在有效的算法计算e(P₁,P₂)。

循环群的概念为：设H为群，如果存在一个元素P∈H使得H＝{kP|k∈Z}，则称H为加法循环群，称P是H的生成元；如果存在一个元素u∈H使得H＝{u^k|k∈Z}，则称H为乘法循环群，称u是H的生成元。若H为加法(乘法)循环群且生成元P(u)的阶为n,即n是使得P(u)的幂等于群H的单位元的最小正整数，则称H为n阶加法(乘法)循环群。简单来说，加法循环群是指该循环群的生成元能够以加法运算生成群中的所有元素，而乘法循环群是指该循环群的生成元能够以乘幂的方法生成群中的所有元素。此外，其中Z_q是指整数模素数q的剩余类，即Z_q＝{1,2,…,q-1}。

根据以上双线性对的描述，下面结合附图和实例对本发明提出的一种基于无证书聚合签名的车联网条件隐私保护方法做进一步说明，但并不作为对本发明的限定。

本发明所述方法设计的实体如下：密钥生成中心KGC、跟踪认证中心TRA、车辆用户V_i以及路侧单元RSU。

(1)密钥生成中心TRA：当车辆用户V_i在加入车联网之前，必须以自己真实身份RID_i向TRA进行身份注册。TRA收到车辆用户V_i的真实身份RID_i以后，生成车辆用户V_i的假名身份ID_i，并通过安全信道发送给KGC。

(2)跟踪认证中心KGC：KGC收到TRA发送的车辆用户V_i的假名身份ID_i以后，生成并通过安全信道发送部分私钥和假名身份ID_i给车辆用户V_i。

(3)路侧单元RSU：路侧单元是固定不可移动，具有一定的数据存储和运算能力，且能够直接与车辆用户进行道路交通实时信息交换与共享的无线收发装置。在车联网中，路侧单元具有网关功能，且通常具有签名消息的验证功能。

参照附图1和附图2，本发明所述方法的步骤具体描述如下：

步骤A，分别生成密钥生成中心KGC的认证主密钥s₁，和跟踪认证中心TRA的跟踪主密钥s₂，以及系统参数params；具体步骤如下：

步骤101：令G₁是一个阶为素数q的加法循环群，P是群G₁的生成元；G₂是一个阶为素数q的乘法循环群；e:G₁×G₁→G₂是一个可计算的双线性映射。

步骤102：KGC选择一个随机数作为认证主密钥，计算主公钥P_Pub＝s₁·P，其中：KGC秘密保存认证主密钥s₁。

步骤103：TRA选择一个随机数作为跟踪主密钥，计算主公钥T_Pub＝s₂·P，其中：TRA秘密保存跟踪主密钥s₂。

步骤104：KGC和TRA共同选择4个密码学Hash函数：H₁,H₂,H₃:{0,1}^*→G₁，公布系统参数params＝{q,G₁,G₂,e,P,P_Pub,T_Pub,H₁,H₂,H₃,H₄}；KGC秘密保存认证主密钥s₁，且TRA不知道跟踪主密钥s₂；TRA秘密保存跟踪主密钥s₂，且KGC不知道认证主密钥s₁。

步骤B，根据所述系统参数，车辆用户真实身份信息，TRA生成车辆用户的假名身份；具体步骤如下：

步骤105：车辆用户V_i随机选择计算ID_i,1＝k_i·P∈G₁；然后通过安全信道发送二元组(RID_i,ID_i,1)给TRA。其中RID_i是车辆用户V_i的真实身份。

步骤106：TRA从安全信道接收到二元组(RID_i,ID_i,1)后，TRA计算然后通过安全信道发送车辆用户V_i的假名身份ID_i＝(ID_i，1，ID_i，2，T_i)给KGC。其中s₂是TRA的跟踪主密钥；T_i是车辆用户V_i的假名身份的有效期；H(·)是一个密码学Hash函数：

步骤C，根据所述系统参数，车辆用户的假名身份，KGC生成车辆用户的部分私钥；具体步骤如下：

步骤107：KGC通过安全信道接收到车辆用户V_i的假名身份ID_i后，首先计算

步骤108：KGC计算车辆用户V_i的部分私钥其中s₁是KGC的认证主密钥。

步骤109：KGC通过安全信道发送二元组给V_i。

步骤D，根据所述系统参数，车辆用户生成自己的公私钥；具体步骤如下：

步骤110：车辆用户V_i随机选择一个秘密值作为私钥

步骤111：车辆用户V_i计算公钥

步骤E，根据所述系统参数，车辆用户对消息进行签名；具体步骤如下：

步骤112：车辆用户V_i随机选择计算R_i＝r_i·P∈G₁。

步骤113：车辆用户V_i计算 以及U_i＝h_i·R_i∈G₁；

步骤114：车辆用户V_i计算

步骤115：车辆用户V_i输出消息M_i的签名σ_i＝(R_i,U_i,S_i)，并发送四元组给RSU。

步骤F，根据所述系统参数，RSU生成聚合签名；具体步骤如下：

步骤116：RSU计算和

步骤117：RSU输出聚合签名σ＝(R,U,S)。

步骤G，根据所述系统参数，RSU对生成的聚合签名，进行验证；具体步骤如下：

步骤118：RSU计算和其中：i＝1,…,n。注意到：W、T均可以预先计算。

步骤119：RSU验证等式：

$e(S,P)=e(\underset{i=1}{\overset{n}{\Σ}}{Q}_{{\mathrm{ID}}_i},P_{Pub})\·\left(\right(\underset{i=1}{\overset{n}{\Σ}}{\mathrm{vpk}}_{{\mathrm{ID}}_i})+R,W)\·e(U,T)$

是否成立。如果验证等式成立，则RSU输出“1”，表示聚合签名有效。否则，RSU输出“0”，表示聚合签名无效。

参见附图3，本发明还提供了一种基于无证书聚合签名的车联网条件隐私保护系统，所述系统包括：系统参数生成模块、假名身份生成模块、部分私钥生成模块、车辆密钥生成模块、签名生成模块、聚合签名生成模块、聚合签名验证模块。

所述系统参数生成模块，用于根据输入的安全参数分别生成密钥生成中心KGC和跟踪认证中心TRA的主密钥，以及系统参数。

所述假名身份生成模块，用于根据系统参数生成模块生成系统参数和车辆用户的真实身份信息，生成车辆用户的假名身份，所述用户包括跟踪认证中心TRA和车辆用户V_i。

所述部分私钥生成模块，用于根据系统参数生成模块生成系统参数和车辆用户假名身份信息，生成车辆用户的部分私钥，所述用户包括密钥生成中心KGC和车辆用户V_i。

所述车辆密钥生成模块，用于根据系统参数生成模块生成系统参数，生成车辆用户的公私钥，所述用户为车辆用户V_i。

所述签名生成模块，用于根据系统参数生成模块生成系统参数，生成车辆用户对消息的签名，所述用户为车辆用户V_i。

所述聚合签名生成模块，用于根据系统参数生成模块生成系统参数，生成聚合签名，所述用户为路侧单元RSU。

所述聚合签名验证模块，用于根据系统参数生成模块生成系统参数，生成该聚合签名是否有效的判断结果，所述用户为路侧单元RSU。

以上只是对本发明的优选实施方式进行了描述。对该技术领域的普通技术人员来说，根据以上实施方式可以很容易地联想到其它的优点和变形。因此，本发明并不局限于上述实施方式，其仅仅作为例子对本发明的一种形态进行详细、示范性的说明。在不背离本发明宗旨的范围内，本领域普通技术人员在本发明技术的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围之内。

Claims (9)

1.一种基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述方法包含以下步骤：

步骤A，该步骤由密钥生成中心和跟踪认证中心共同执行，生成车联网的主密钥和系统参数；

步骤B，根据所述系统参数，车辆用户真实身份信息，跟踪认证中心生成车辆用户的假名身份；

步骤C，根据所述系统参数，密钥生成中心生成车辆用户的部分私钥；

步骤D，根据所述系统参数，车辆用户生成自己的密钥；

步骤E，根据所述系统参数，车辆用户对随机选择向路侧单元发送的消息并对该消息进行签名；

步骤F，根据所述系统参数，路侧单元对签名进行聚合；

步骤G，根据所述系统参数，路侧单元对聚合的签名进行验证。

2.根据权利要求1所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤A具体过程如下：

(1)令G₁是一个阶为素数q的加法循环群，P是群G₁的生成元；G₂是一个阶为素数q的乘法循环群；e:G₁×G₁→G₂是一个可计算的双线性映射；

(2)密钥生成中心选择一个随机数作为认证主密钥，其中表示集合{1,2,…,q-1}，q为整数模素数；计算主公钥P_Pub＝s₁·P，其中：密钥生成中心秘密保存认证主密钥s₁；

(3)跟踪认证中心选择一个随机数作为跟踪主密钥，计算主公钥T_Pub＝s₂·P，其中：跟踪认证中心秘密保存跟踪主密钥s₂；

(4)密钥生成中心和跟踪认证中心共同选择4个密码学Hash函数，包括H₁、H₂、H₃、H₄，其中，H₁,H₂,H₃:{0,1}^*→G₁，公布系统参数params＝{q,G₁,G₂,e,P,P_Pub,T_Pub,H₁,H₂,H₃,H₄}；密钥生成中心秘密保存认证主密钥s₁，且密钥生成中心知道跟踪主密钥s₂；跟踪认证中心秘密保存跟踪主密钥s₂，且跟踪认证中心不知道认证主密钥s₁。

3.根据权利要求2所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤B具体过程如下：

(1)车辆用户V_i随机选择k_i为随机数，计算ID_i,1＝k_i·P∈G₁；然后通过安全信道发送二元组(RID_i,ID_i,1)给跟踪认证中心；其中RID_i是车辆用户V_i的真实身份；其中ID_i,1为假名身份的一部分；

(2)跟踪认证中心从安全信道接收到二元组(RID_i,ID_i,1)后，跟踪认证中心计算然后通过安全信道发送车辆用户V_i的假名身份ID_i＝(ID_i,1,ID_i,2,T_i)给密钥生成中心；其中s₂是跟踪认证中心的跟踪主密钥；T_i是车辆用户V_i的假名身份的有效期；H(·)是一个密码学Hash函数：

4.根据权利要求3所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤C具体过程如下：

密钥生成中心通过安全信道接收到V_i的ID_i后，首先计算 为假名身份的Hash函数值；然后计算车辆用户V_i的部分私钥其中s₁是密钥生成中心的认证主密钥；最后，密钥生成中心通过安全信道发送ID_i和给V_i。

5.根据权利要求4所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤D的具体过程如下：

车辆用户V_i随机选择一个秘密值作为私钥然后计算公钥

6.根据权利要求5所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤E的具体过程如下：

(1)车辆用户V_i随机选择r_i为随机数，计算R_i＝r_i·P∈G₁(R_i为随机数r_i的承诺值，也是签名的一部分；

(2)车辆用户V_i计算 以及U_i＝h_i·R_i∈G₁；其中W、T、h_i分别是Hash函数值，U_i是h_i承诺值，也是签名的一部分；

(3)车辆用户V_i计算S_i是签名的一部分；

(4)车辆用户V_i输出消息M_i的签名σ_i＝(R_i,U_i,S_i)，并发送四元组给路侧单元。

7.根据权利要求6所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤F的具体过程如下：

(1)路侧单元计算和

(2)路侧单元输出聚合的签名σ＝(R,U,S)。

8.根据权利要求7所述的基于无证书聚合签名的车联网条件隐私保护方法，其特征在于，所述步骤G的具体过程如下：

(1)路侧单元计算：和其中：i＝1,…,n；

(2)路侧单元验证等式：

$e(S,P)=e(\underset{i=1}{\overset{n}{\Σ}}{Q}_{{\mathrm{ID}}_i},P_{Pub})\·e\left(\right(\underset{i=1}{\overset{n}{\Σ}}{\mathrm{vpk}}_{{\mathrm{ID}}_i})+R,W)\·e(U,T)$

是否成立；如果验证等式成立，则路侧单元输出“1”，表示聚合签名有效；否则，路侧单元输出“0”，表示聚合签名无效。

9.一种基于无证书聚合签名的车联网条件隐私保护系统，其特征在于，包括：

系统参数生成模块，用于根据输入的安全参数分别生成密钥生成中心和跟踪认证中心的主密钥，以及系统参数；

假名身份生成模块，用于根据系统参数生成模块生成系统参数和车辆用户的真实身份信息，生成车辆用户的假名身份，所述用户包括跟踪认证中心和车辆用户V_i；

部分私钥生成模块，用于根据系统参数生成模块生成系统参数和车辆用户假名身份信息，生成车辆用户的部分私钥，所述用户包括密钥生成中心和车辆用户V_i；

车辆密钥生成模块，用于根据系统参数生成模块生成系统参数，生成车辆用户的公私钥，所述用户为车辆用户V_i；

签名生成模块，用于根据系统参数生成模块生成系统参数，生成车辆用户对消息的签名，所述用户为车辆用户V_i；

聚合签名生成模块，用于根据系统参数生成模块生成系统参数，生成n个不同消息{M₁,M₂,…,M_n}的聚合签名σ，所述用户为路侧单元；

聚合签名验证模块，用于根据系统参数生成模块生成系统参数，生成该聚合签名是否有效的判断结果，所述用户为路侧单元。